За словами дослідників Якуба Бржечкі і Давида матушок з команди веб-ресурсу Matousek.com, їм вдалося створити спосіб обходу захисту, вбудованої в більшість популярних настільних антивірусних продуктів.

Запропонована методика досить проста: на вхід антивіруса надсилається нешкідливий код, що проходить всі захисні бар’єри, але, перш ніж він почне виконуватися, проводиться його підміна на шкідливу складову. Зрозуміло, заміна повинна відбутися строго в потрібний момент, проте на практиці все спрощується завдяки тому, що сучасні системи мають у своєму розпорядженні багатоядерних оточенням, коли один потік не в змозі відстежити дії паралельних потоків. У результаті може бути обдурять буквально будь-який Windows-антивірус.

Руткіт функціонує в тому випадку, якщо антивірусне програмне забезпечення використовує таблицю дескрипторів системних служб (System Service Descriptor Table, SSDT) для внесення змін до ділянки ядра операційної системи. Оскільки всі сучасні захисні засоби оперують на рівні ядра, атака працює на 100%, причому навіть у тому випадку, якщо Windows запущена під обліковим записом з обмеженими повноваженнями.

Разом з тим руткіт вимагає завантаження великого обсягу коду на атаковану машину, тому він непридатний, коли потрібно зберегти швидкість і непомітність атаки. Крім того, зловмисник повинен мати у своєму розпорядженні можливістю виконання виконуваного файлу на цільовому комп’ютері.

Методика може бути скомбінована з традиційною атакою на вразливу версію Acrobat Reader або Sun Java Virtual Machine, не пробуджуючи підозр у антивіруса в істинності намірів. Ну а потім хакер вільний і зовсім знищити всі захисні бар’єри, повністю видаливши з системи заважає антивірус.